[发明专利]基于SDN和FNV动态构建大规模欺骗诱捕场景方法系统及装置

说明书

本发明涉及网络安全技术应用技术领域，具体公开了一种基于SDN/FNV动态构建大规模欺骗诱捕场景方法系统及装置，其特征在于，包括如下步骤：S1、NFV的网元异常检测；S2、异常数据流判断；S3、诱捕场景切换；S4、攻击流量转发；S5、记录攻击行为；S6、释放资源。本发明提出基于SDN/NFV技术，不同于于其他使用SDN技术简单将攻击流量转发至蜜罐，而时通过对SDN中数据流快速分析，快速构建攻击者需要的精准业务场景，让攻击者长时间驻留在场景中，充分调动攻击者释放出更多攻击攻击，比如木马、恶意样本等，记录攻击者全部攻击行为，让攻击者认为完成一次成功的入侵行为。

技术领域

本发明涉及网络安全技术领域,更具体的说是涉及一种基于SDN和FNV动态构建大规模欺骗诱捕场景方法系统及装置。

背景技术

随着互联网不断普及,越来越多的单位和个人计算机都连接上互联网,随之网络安全问题也日益严重,互联网上的每台主机都有可能受到攻击，近年来不断发生黑客入侵企业网络的事件,如何保障企业网络安全,构筑一个安全可靠的企业网络成了当前迫切需要解决问题。

欺骗诱捕是由蜜罐、诱饵技术组成的蜜网技术，是主动防御的重要手段，可对现有安全防护体系做良好的补充，根据用户核心业务资产拓扑结构，生成相似度极高的业务场景，诱惑黑客攻击，混淆黑客攻击前收集的信息，从而第一时间发现黑客攻击。

SDN(软件定义网络)，是由美国斯坦福大学CLean State课题研究组提出的一种新型网络创新架构，是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能，为核心网络及应用的创新提供了良好的平台。

NFV，即网络功能虚拟化，NetworkFunctionVirtualization。通过使用x86等通用性硬件以及虚拟化技术，来承载很多功能的软件处理。从而降低网络昂贵的设备成本。可以通过软硬件解耦及功能抽象，使网络设备功能不再依赖于专用硬件，资源可以充分灵活共享，实现新业务的快速开发和部署，并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。

现有主流的防御系统在检测到网络攻击到实际业务系统中时多采用立即阻断的方式保护系统安全，但此方法无法获取攻击者的真正攻击目的，同时会被攻击者觉察，导致攻击继续采用其他手段继续对系统进行持续攻击。

发明内容

有鉴于此，本发明提供了一种基于SDN/FNV动态构建大规模欺骗诱捕场景方法系统及装置。

为实现上述目的，本发明提供如下技术方案：基于SDN/FNV动态构建大规模欺骗诱捕场景方法，包括如下步骤：

S1、NFV的网元异常检测；

S2、异常数据流判断；

S3、诱捕场景切换；

S4、攻击流量转发；

S5、记录攻击行为；

S6、释放资源。

优选的，在上述一种基于SDN/FNV动态构建大规模欺骗诱捕场景方法，具体包括如下步骤：S1、通过NFV的网元：虚拟防火墙、IDS、IPS及蜜罐等来检查网络是否异常；

S2、通过动态流表内容快速定义数据业务流的数据运行关系；

S3、根据流表内容、SDN控制的数据快速启动/切换对应的诱捕场景；

S4、通过SDN控制器控制转发至诱捕场景中；

S5、捕获所有的攻击行为，包括数据包、业务系统的攻击行为；

S6、攻击结束，释放相应SDN资源。